تحذرات من تصاعد الهجمات باستخدام NTLM Relay لاستهداف خوادم Exchange وSharePoint

تحذرات من تصاعد الهجمات باستخدام NTLM Relay لاستهداف خوادم Exchange وSharePoint
تحذرات من تصاعد الهجمات باستخدام NTLM Relay لاستهداف خوادم Exchange وSharePoint
شارك هذا الخبر

حذّرت شركة مايكروسوفت من أن جهات التهديد السيبراني باتت تعتمد بشكل متزايد على هجمات “ترحيل مصادقة NTLM” (NTLM Relay) وتسريبات بيانات الاعتماد، لاستغلال الثغرات الأمنية الحرجة في خوادم Exchange Server وSharePoint Server، بهدف التسلل والحفاظ على وجود دائم داخل الأنظمة المستهدفة.

كيف تتم الهجمات: من نقطة دخول إلى اختراق شامل

وفقًا لتحليل مايكروسوفت الأمني، يبدأ المهاجمون بالبحث عن خوادم تحتوي على ثغرات معروفة أو غير مصححة في Exchange أو SharePoint. بعد الدخول الأولي، يتبعون خطوات تصعيدية تشمل:

  • تنفيذ تعليمات برمجية عن بُعد (RCE)

  • الحركة الجانبية (Lateral Movement) ضمن الشبكة

  • جمع وتسريب البيانات الحساسة (Exfiltration)

لكن الأهم من ذلك، أن الجهات المهاجمة تحوّلت مؤخرًا إلى استغلال نظام مصادقة NTLM، من خلال إعادة توجيه بيانات الاعتماد (Relay) إلى خوادم قابلة للاستغلال، مما يسمح لهم بالحصول على صلاحيات الدخول لحسابات حساسة، والوصول إلى موارد داخل الشبكة.

NTLM Relay: ما هو ولماذا هو خطير؟

NTLM (NT LAN Manager) هو بروتوكول مصادقة قديم من مايكروسوفت لا يزال يُستخدم في العديد من البيئات المؤسسية.
وتكمن خطورته في أن بيانات المصادقة ليست مشفّرة بالكامل ويمكن إعادة استخدامها في هجمات “Relay”، ما يسمح للمهاجمين بخداع خوادم أخرى لقبول تلك البيانات وكأنها شرعية.

ما يجعل NTLM Relay خطيرًا للغاية:

  • لا يتطلب معرفة كلمة المرور

  • يسمح بتنفيذ الأوامر بصلاحيات عالية

  • يُمكّن من اختراق أنظمة داخلية أخرى بسهولة

أساليب متقدمة للحفاظ على السيطرة في SharePoint

في ما يتعلق بـ SharePoint Server، لاحظت مايكروسوفت مؤخرًا تطورًا في أساليب الحفاظ على التواجد داخل النظام (Persistence)، حيث يقوم المهاجمون بـ:

  • حقن أو تعديل ملفات النظام لإدخال Web Shells

  • استخدام أدوات المراقبة والتحكم عن بُعد (RMM) مثل AnyDesk أو ScreenConnect

  • دمج الشيفرة الضارة داخل ملفات مشروعة موجودة مسبقًا، ما يصعّب من اكتشافها من قبل أدوات الحماية

خلفية مهمة: سجل مايكروسوفت مع الثغرات في Exchange وSharePoint

خلال السنوات الأخيرة، كانت خوادم Exchange وSharePoint أهدافًا متكررة لحملات هجومية متقدمة، أبرزها:

  • هجمات مجموعة HAFNIUM المدعومة من الصين (2021)

  • استغلال ثغرات ProxyLogon وProxyShell في Exchange

  • استخدام SharePoint كنقطة انطلاق لتنفيذ تعليمات PowerShell خبيثة

وبالرغم من إصدار التحديثات الأمنية المتكررة، إلا أن العديد من المؤسسات تفشل في تحديث أنظمتها بالسرعة المطلوبة، مما يترك المجال مفتوحًا أمام الاستغلال.

التوصيات الأمنية من مايكروسوفت

دعت مايكروسوفت المؤسسات إلى اتخاذ الإجراءات التالية بشكل فوري:

  • تعطيل بروتوكول NTLM أينما أمكن واستبداله بـ Kerberos

  • تحديث Exchange وSharePoint بأحدث التصحيحات الأمنية

  • مراقبة الشبكة لاكتشاف استخدام أدوات RMM غير مصرح بها

  • فحص سجلات الدخول بحثًا عن أنماط Relay أو تسريب بيانات اعتماد

وسوم
محمد طاهر
محمد طاهر
المقالات: 202

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة